< | >

PC交換で「BizStation」の証明書再取得
  • (2022-07-29 05:45:52)

電子証明書の移植は面倒


PCを交換する際、証明書の移植が必要だと交換作業がまた一段面倒になる。

今回はBizStationの証明書の移植で戸惑ったのでその記録。

BizStationの電子証明書は昔はエクスポートが可能だった。

それをUSBメモリなどにコピーして新しいPCにインポートすればよかった。

非常に簡単だったが、いつの日からかエクスポートができなくなった。

今回久しぶりだったので、もしかしたら「再度エクスポートできるようになっているかも?」と期待してトライしたが、やはりダメだった。

証明書のエクスポートの作業には選択肢が二つあった:

○ 秘密キーをエクスポートします
○ 秘密キーをエクスポートしません

「あれ?」と思った。


「秘密キー」の移植も必要


「証明書」のエクスポートなのに「秘密キー」選択画面があるが、今回は「エクスポートします」が選択不可となっていた。

画面下には「秘密キーにエクスポート不可能フラグが付いています。証明書だけエクスポートできます」とある。

証明書はエクスポートできるが、秘密キーができない。

BizStation側にて秘密キーエクスポートを不可設定にしているのだろう。

SSL/TLS証明書の話になると私の能力を超えているので、もうこれ以上調べない。

しかし、昔調べたしたとき「秘密キー」「公開キー」は証明書をもとに各ユーザー側で自動生成されるものと理解していたので、秘密キーのエクスポート自体不要というイメージがあった。

しかし、秘密キーはそのユーザー固有に一回きり生成されるもので、これをエクスポートができないと他のPCではBizStationは動かないということなんだろう。

エクスポートさせないということはPCごとに新規に秘密キーを生成せよ、ということか。

不便だが、セキュリティ的には正しい設定に思える。


ムダな作業をした


私としては現在稼働中のPCで電子証明書と秘密キーをファイルとして取得し、それを新しいPCにインポートすればよいと推測して作業をはじめた。

しかし、稼働中PCから作業すると、さらに新しい証明書をムダに追加するだけの結果となる。

証明書が2枚あっても問題はないが完全にムダである。機密キーも2個になったのだろう。

(教訓) 証明書は新PCから取得すること。

新PCで取得すると、稼働中だった旧PCの証明書は無効化されるようだ。


作業全体の流れ・見通しが把握しにくい


この大雑把な流れと状況を把握せず作業をしたのでムダが多い作業となった。

この辺の大雑把な作業プロセスのイメージをはじめから知っていればいいのだが、銀行さんの移植に関するPDF資料はわかりにくい。

資料PDFが何種類もあって詳細はいろいろ書いてあるが、複雑すぎてよくわからない。

とりあえず全体の見通しを知りたいが、その辺の情報はない。

そこで、まずはサポートセンターに電話して「ざっくりとした作業内容を聞いとくか」と考えたが、今度は電話番号が見当たらない。


電話番号を前向きに公開しない企業が増加中


昔はBizStationコールセンターの電話番号は大きく公開されていたと記憶している。

たしかBizStation画面にも右上あたりに大きく明示されていたと思うが、今はどこに公開されているのかわからず、探し出せなかった。

Amazon風に、そういう探す苦労に耐えられる人間だけかけてこいということなんだろう・・不親切だが、共感する。

90%の人は良識の範囲内で、必要な内容に関して必要な頻度でかけ、必要な長さで電話を切る。

しかし、これが中にはひどい甘えんぼや暴言を吐く身勝手な人間もいる。

(企業の人間を奴隷と見なす人間もいるものである。日本だけの怪現象で、どうしてこうなったのか? 今、企業側は反省をはじめている = 不親切になる、関わりを減らす傾向 )

サポートスタッフの精神衛生上の防衛を考えれば、AI応対のサポートセンターは増加しても、生の人間のコールセンターは今後減少していくだろう。





< | >

一見詐欺とは判断できなかった詐欺メール
  • (2022-07-23 09:18:45)

怪しいメール


こんなメールが来た:


ヨドバシドットコム:「お客様情報」パスワード変更の連絡 <admin@yodobashi.com>


ヨドバシドットコムさんにはアカウントを持っているので、一瞬「あれ?」と思い内容を読んだが、同時に怪しいとも感じた。


偽装された「Return-Path:」


怪しいメールはおおむねヘッダ情報の「Return-Path:」が当事者でないメアドになっているが、今回は「<info@yodobashi.com>」、当事者である。

「From:」も「From: "yodobashi.com"<admin@yodobashi.com>」と当事者を示しており、これは「わかりにくい」と感じた。

下記はヘッダの一部:
---------------
Return-Path:<info@yodobashi.com>
Received: from ○○○・・・
Received: from ○○○・・・
Received: from ○○○ (localhost [127.0.0.1])
Received: from 127.0.0.1 (127.0.0.1)
Received: from yodobashi.com (unknown [117.50.187.172])
From: "yodobashi.com"<admin@yodobashi.com>
---------------


送信サーバのIPアドレスで調査


「117.50.187.172」からメールの送信がはじまり、あとは国内のISPのメールサーバを何台か転送されて、私のメールアカウントに届いた感じの記録となっていた。

「117.50.187.172」のIPアドレスを CMAN で調査すると

「Shanghai UCloud Information Technology Company Limited」とでていたので、中国から送信されてきた可能性が高い。

ヨドバシドットコムが中国からメールを送ってくるとは考えにくいので、やはり、これも詐欺メールの可能性が高いと判断しメールに記載されていたURLは踏まないよう注意した。


攻撃者のレベルが絶え間なく上がる


今回は送信開始元サーバーの「IPアドレス」で中国由来メールと判断したが、たとえば、攻撃者が日本国内から送信したように偽装したら、さらに見分けにくい。

しかも偽装する手法は簡単である(ここには書かないが)。

攻撃者の攻撃レベルは絶え間なく上がる。


< | >

Gmail、なりすまし警告バナー問題
  • (2022-07-15 11:13:35)
3ヶ月前に投稿した「Gmail、SPFレコード不備で巨大バナー警告」の続き。


アラートはまだ一部続いていた


3ヶ月前の対策ではSPF設定で一段落したと思っていたが、まだこの "なりすまし警告アラート" が表示される人がいることがTwitterで間接的にわかった。

Twitterにてそういう投稿をしている人がいた。

当社でテストする範囲では再現性がない。

何かのまちがいでないのか、という疑問もあるし様子見だった。


様子見


「様子見」とは多くの場合、そのまま放置し忘れるというケースが多いが、このパターンだった。

ところが今回は「エラーがでているので心配になって電話しました」という人がいて、これは本物と判断した。

しかも、その人の証言からクレジット決済の確認メールがそうなったという具体的な事実が判明した。

この瞬間に、これはクレジット決済代行会社さんのメールサーバーの問題だとすぐに気づいた。


再現テスト


実際に再現テストをやってみた。gmail.comのアドレスで決済し、その決済確認メールをgmail.comで確認するとこんな感じ:


( Gmail画面 )

このメールのヘッダ情報を見ると明確にSPFエラーが記録されていた。見やすくするために抜粋すると・・

Return-Path: <○@○○.jp>
Received: from (○○○○.jp. [210.○.○.○])
by mx.google.com with ESMTPS id xxxxx
Received-SPF: softfail (google.com: domain of transitioning ○@○○.jp does not designate 210.○.○.○ as permitted sender)


「Received-SPF: softfail」になっている。 (○○○○.jp. [210.○.○.○]) の部分が決済会社さんのもの。このIPかFQDNをSPFに追加すれば、この問題はクリアされるだろう。


SPF設定の漏れ!


決済確認メールは決済会社から送信されるが、「Return-Path:」と「From:」が当社メールアドレスとなっており、当社から送信されたかのようになっている。

ここをGmailに叱られているのだろう。

このときはじめて「Return-Path:」と「From:」が当社メールアドレスである事実に気づき、SPF設定にて、この会社のメールサーバー設定を入れていなかったことを反省した。

v=spf1 include:_spf.lolipop.jp ip4:○.○.○.○ a:△.△.△.jp ~all



決済会社さんの対応


設定すべき内容は上のメールのヘッダ情報内にあるが、念のため決済会社さんに「SPFに登録すべき、貴社メールサーバのIPアドレスか FQDN を教えて欲しい」と連絡すると翌日には返信が来た。

速い対応に感謝した。

しかし、決済会社さんにとってはこのトラブルは当社だけでなく多くのクライアントで発生している問題だろうし、エンジニアがいない小さな会社では困惑し途方に暮れているに違いない。

なぜ決済会社から案内してくれないのか?それくらいの配慮あっていいのでは?・・と思わないこともなかった。

(しかし、そういう案内を出すと、SPF設定サポートの問い合わせや要望がくる。自分たちの仕事でないという気持ちが強かろう、だからそこはあえて触れない・・これが本音じゃないかな・・サポートをどこで線引きするかは難しい問題である)

とりあえず、SPFを設定し直した。これで様子を見たい。


自分が悪い


この一連のトラブルのミスは設定漏れを見過ごした自分にある。

クレジット決済結果の通知メールが当社メールアドレスで送信されていたことに気づいていなかったこともミス。

(こういうことがあるので、システムは本当にシンプルにして他社さんのシステムが自社内のシステムに入り込まないことが一番だと思う)

Twitterで「アラートがでている」というツイートを見たときに気づくべきだったと思う。

兆候を見逃してしまった。

兆候の段階で対応することが一番コストエフェクティブである。


< | >

USBモバイルモニターを試す
  • (2022-07-14 13:54:21)

USBモバイルモニター ASUS MB169B+ 来る


キッチンで、ちょっとPCを見たいときがある。PCは持っているので場所をとらないモニターを探したところ、近年、出回っている「モバイルモニター」が良さそうな予感。

なんといっても魅力は「電源ケーブル不要」という点。あまりにも魅力的で後先考えずに購入してみた。欲に取り付かれると失敗するといういつもの教訓を味わった。


メインモニターとして使いたい


目標はモバイルモニターをサブモニターとしてでなく、単体かつメインディスプレイとして使用すること。


幻想だった


Win10にディスプレイ2として接続してテストしたら、モバイルモニターに対して自分がいろいろ過剰な幻想を抱いていたことがわかった。

おおむね幻滅しただけの買い物になった。


(1) 画面が暗い


USBだけから給電するとなれば当然弱い。USB給電に惹かれたが、それが失敗の元だった。

モニター購入する際に「輝度」を気にしたことはない。何を買っても普通に明るいし、むしろ眩しいので輝度は落として利用している。

MB169B+は輝度を最高に上げても画面が暗い。ここに至ってスペックを見た、すると220cd/m2。

そこで、普通の液晶モニターを調べてみたら、どんなものも最低300cdは超えている。

給電がUSBなら、数ワット程度の電力しか送れないだろうから(将来はもっと行くと思うが)、USB給電という選択肢自体が幻想だったと反省した。


(2) モバイルモニターだけ単体で接続しても画面が表示されない


モバイルモニターとはもしやメインモニターの存在が前提なのかな?

Win10ではマルチディスプレイにする際は「複製、拡張、ディスプレイ1のみ、ディスプレイ2のみ」を選択できるが、メインのディスプレイ1がPCに物理的に繋がっていないと、ディスプレイ2の複製表示がされないようだ。

メインモニターを繋がず「ディスプレイ2のみ」の設定にしてテストしたいが、万一この設定にして、何も表示されなず元に戻せなくなったら恐ろしくてテストはしていない。


(3) 解像度や文字サイズの設定はマルチディスプレイ共通のようだ


ディスプレイごと個別にはできないのでモバイルモニターだけ文字を大きくしたいといってもできない。

別途グラフィックボードを追加すれば個別に操作できるのだろう。


・・・半時間ほどいじっただけなので、検証しきれていないし、取扱方にミスがあるのかもしれない。しかし、USBで給電されたディスプレイはまだボクには時期尚早かな?という印象だった。

モバイルモニターは断念することにした。



< | >

Win7 → Win10 無料アップデート
  • (2022-07-11 06:10:36)

OSの入れ替えは時間消耗が激しい


OSの入れ替えは必ずトラブルので、自分ではやらないようにしている。

それだけ体力と時間を消耗するので。

だから、あるOSが必要なら、すでにそのOSがインストールされているPCを購入するようにしている。

時間をお金で買う方がよい。

しかし、今回事情があって、Dell OptiPlex 3020 Win7 を自分でアップデートすることになった。

今さらながら初のWin10アップデートをやり、そして予想通りはまった、その記録。


まだ無料配布中だったWin10


昔はWin7 → Win10アップグレード用のOSはMicrosoft社から無料配布されていたが、今ではどうだろうと調べると、なんと今でも無料配布されていた。

Windows 10 のダウンロード

"期間限定" はウソだったのだろう。

まあ、期限を切った方が、みんな急いでやってくれるので、その気持ちはわかる。

たとえば、「無料かつ期限ナシ」とアナウンスすると案外バカにされるものである。

仮に内心、無料かつ期限ナシというスタンスでも、アナウンス自体は「無料ダウンロード期間は○○まで、その後は○万円」とするのが商売上のやり方。


はまったOS入れ替え


いままでOSの入れ替えは何度もやってきたが、一度でスパッとうまくいったケースは自分の場合、皆無である。

今回も大きく3種類のトラブルが発生し、そのたびに時間と体力が失われた。

Win7 → Win10アップグレード作業はトラブルがなければ、「MediaCreationTool.exe」のダウンロードから、Win10アカウントセットアップまで、1時間程度と思われるが、2日かけてようやく完了した。


トラブル(1):MediaCreationToolによるWin10ダウンロード


「MediaCreationTool21H2.exe」のダウンロード自体は問題なかった。

このソフトはWin10のメディアをダウンロードするユーティリティのようだ。

MediaCreationToolを実行したら、いきなり「0x80072F8F」エラーを表示して止った。

このエラーコードは「原因不明」という意味でコード自体が全然役立たずである。

ネット検索するとこのエラーは多種多様な原因ででるそうだ。

Win7の「Windows Update」が不足してるのではないか推測し、しつこく「Windows Update」をやったがダメだった。

バカように繰り返して、ネット検索して、いろいろ試したが、初日は時間切れとなった。

結局、偶然見つけた下記の記事で問題は解決した:

Some server that the MediaCreationTool21H2.exe tries to talk to apparently no longer speaks the old TLS 1.0 security protocol, but Windows 7 SP1 still has the newer TLS 1.1 and TLS 1.2 disabled by default, resulting in this error code right at the start. So I had to first run the “Easy fix 51044” MSI to make a few registry changes to enable the more recent TLS versions, and then Media Creation Tool - error code 0X80072F8F - 0X20000 no longer appeared.

Win10のメディアをダウンロードする際、Win7では「TLS 1.1/1.2」が disabled されているので、フィックス「Easy fix 51044」を当てよ、という教えである・・なんて賢い人なんだろう、どうやったらこんなことがわかるのか、世の中、上には上が限りなく・・と感じた。

(TLS 1.1/1.2さえも今となっては古いが)

MicrosoftEasyFix51044.msi」を当ててクリアできた。

※ちなみに、このプロセスはもう一度ほかのサラのSSDに対して、やってみたが、その際は「Easy fix 51044」不要でクリアできた。意味不明である。


トラブル(2):更新ファイルダウンロード中にエラー


MediaCreationToolが、Win10メディアをダウンロードし、セットアップしている途中、更新ファイルダウンロードといった感じのメッセージがでているときに「Windows10のインストールは失敗しました」というシンプルなメッセージで突然終わる。

エラーコードやヒントになるメッセージはない、たんに「Windows10のインストールは失敗しました」と言われ終了である。

今までかけた時間も努力も、何事もなかったように強制終了させられるむなしさ。

しかし、この問題の解決は簡単だった。

更新ファイルのダウンロードをさせないため、それがはじまろうとした瞬間にネットケーブルを抜く、これだけで解決した。

ネットワークがないと更新ファイルなしでインストールは進行するし、それでうまくいく。


トラブル(3):Win10インストールの終盤でエラー終了


「Windows10をインストールできませんでした」
「BOOT操作中にエラーが発生したため、インストールはFIRST_BOOTフェーズで失敗しました]

あと少し、というところで、このエラーが表示され、せっかくインストールされたWin10は自動的にもとのWin7に強制撤退させられる。

あと少しだっただけに悔しさがにじむ・・

ところが、これは「MediaCreationTool21H2.exe」を2回実行すると2回目はクリアされるようだ。

今回、2個のSSDで、Win10インストールを2回やっていて、2個のSSDで同じ現象だった。

原因不明だが、どうでもよい。

ちなみに、Win10アップデートでは「ユーザー情報を引き継ぐ」「引き継がない」の選択ができるが、どちらを選んでも、上記(2)(3)のトラブルは発生した。

よって「引き継がない」方がトラブルは少ないのでは?という私の推測は当たらなかった。


アカウント作成問題


インストールが完了し、最後のWin10セットアップでは強制的に「Microsoftアカウント」作成をやらされるので、作成したくない場合は注意深くこのプロセスを回避したい。

Win10まではなんとかローカルアカウントだけで行けるようだ。

(Win11からは「Microsoftアカウント」は強制らしい)

ちなみにセットアップ完了したら、私はすぐに「OneDrive」を強制削除するようにしている。知らぬ間にデータをクラウドにアップされないように。

・OneDrive のアンインストール
 管理者権限でdos窓(winキー+R → cmd ctrl+shitキー)
 taskkill /f /im OneDrive.exe
 (64bit) %SystemRoot%\SysWOW64\OneDriveSetup.exe /uninstall
 (32bit) %SystemRoot%\System32\OneDriveSetup.exe /uninstall




search
layout
admin

[▲page top]